有没有支持 XSS 攻击的所见即所得编辑器？

Question

我们使用所见即所得编辑器的时间已经超出了我的记忆。 在这种编辑器中轻松粘贴 JavaScript 使其成为 XSS 攻击的靶子。

有人知道任何所见即所得编辑器与 XSS 预防集成吗？

欢迎提供解决方案和建议。

Answer 1

所见即所得编辑器都是客户端的（除非它与某些特定于平台的服务器组件一起打包）。 您无法防范来自客户端的用户攻击； 用户始终可以跳过编辑器并直接在 HTTP 请求中发布 XSS。

您永远不想在输入或存储阶段丢弃信息。 当您将用户输入写回到屏幕时，您为防止 XSS 所做的一切都应该发生。 最简单的方法是对所有内容进行简单编码。 显然，在像 Stackoverflow 这样的网站上，一些用户输入最终需要编写为标记，因此需要首先对其进行清理。

如果我们更多地了解您正在使用的平台，我们可能会推荐一些经过充分测试、经过验证的库来满足您的需求。